基于Perti网的移动Ad Hoc网络改进攻击网建模方法研究

基于模型的评估方法的关键是对网络攻击的建模[1]。网络攻击建模方法研究的主要内容是用科学的方法来描述网络攻击行为。从当前来看，国内外在移动Ad Hoc网络攻击建模领域开展研究比较多的一种方法是攻击网建模方法。攻击网的优势在于以Petri网理论做强大的理论背景，可以较好地表示攻击所处的状态、攻击的动作、以及攻击的进展，尤其适合描述自动攻击控制。但也存在明显不足，那就是，攻击网是站在攻击者的角度建立的，没有将网络的拓扑结构纳入模型，因而评估工作并不全面。本文将对基本的攻击网进行改进，旨在研究一种更加高效的模型来描述移动Ad Hoc 网络攻击，并用仿真实验来检验模型效果。

1 移动Ad Hoc 网络攻击

无线自组织网络(Ad Hoc网络)作为一种新型的移动多跳无线网络[2]，它不依赖于任何固定的基础设施和管理中心，而是通过传输范围有限的移动节点间的相互协作和自我组织来保持网络连接和实现数据的传递。它与固定网络有着明显的不同。在固定网络中，敌方需搭接电缆才能偷听,需要寻找防火墙或网关的漏洞才能访向内部资源。但对于无线自组织网络，无线信道使得窃听随处可以存在，节点的移动性使得敌我双方无边界，防火墙也无法应用。加之，移动Ad Hoc网络拓扑结构随节点移动而动态变化，其安全问题更加严峻[3]，更容易遭受各种攻击，如窃听、伪造身份、重放、篡改报文和拒绝服务等。

在移动Ad Hoc网络中[4]，攻击者可以攻击合法节点，将其俘获后为己所用，也可以直接攻击网络，使网络提供的服务不可用。根据攻击的来源，可将移动Ad Hoc网络攻击分为外部攻击和内部攻击。外部攻击本质上是主动攻击，由网络外部的恶意节点发起的攻击。内部攻击则是通过俘获节点或向网络中注入恶意节点，从网络的内部发起的攻击,由于网络内部的节点本身就拥有一部分的安全权限，可以绕过很多安全机制，因此内部攻击的破坏性比外部攻击更大,检测难度也更大。从攻击方式来看，攻击还可划分为被动攻击和主动攻击。被动攻击其目的是流量分析和窃取信息，不对网络造成任何形式的干扰。主动攻击则是攻击者恶意篡改敏感数据，发布虚假的路由信息，这些攻击，轻者可以耗费节点能量，从而减少网络寿命，重者可以干扰到网络的正常运行，让网络服务不可用。

在移动Ad Hoc网络中[5]，攻击者可以在各个协议层发起拒绝服务攻击，比如在物理层和链路层，可以通过无线信号干扰来干扰通信信道；在网络层，攻击者则可以使用黑洞攻击或者虫洞攻击骚扰路由回路，使网络无法正常互联互通。从当前研究来看，针对网络层路由协议的攻击也是一个热门领域；在协议顶层，攻击者还可以通过欺骗各种应用程序来禁用更高级别的服务。

2 基本的攻击网模型

为了更好地共享安全知识,美国McDermott最早提出了基于Petri 网的攻击网模型,使用Petri网来描述网络攻击行为。后来该模型被广泛地应用于网络攻击分析和安全评估。

2.1 Petri 网简介

Petri网是对离散并行系统的数学表示[6]。它是20世纪60年代由卡尔·A·佩特里发明的，适合于描述异步的、并发的计算机系统模型。Petri网既有严格的数学表述方式，也有直观的图形表达方式，既有丰富的系统描述手段和系统行为分析技术，是一种网状图形表示的系统建模方法。

经典的Petri网是简单的过程模型，由两种节点(库所和变迁)，有向弧，以及令牌等4种不同元素组成的[7]。用圆形节点表示库所(Place)，方形节点表示变迁(Transition)，有向弧(Connection)则是库所和变迁之间的有向弧。根据传输方向不同，连接 Place和 Transition的有向弧又分为输入和输出有向弧,输入有向弧从库所指向变迁，输出有向弧从变迁指向库所。令牌(Token)是库所中的动态对象，可以各个库所之间进行移动。位于 Place中的令牌(Token)用“·”表示。在这里，Place表示系统状态的逻辑描述,可拥有任意数量的令牌，令牌数量标志系统当前状态。Transition表示系统中事件或行为的产生过程。如果一个变迁的每个输入库所(input place)都拥有令牌，那么该变迁即为被允许(enable)。一个变迁被允许时，变迁将发生(fire)，导致输入库所(input place)的令牌被消耗，同时令牌转移到输出库所(output place)。图1为一个 Petri网的例子。

2.2 攻击网模型

攻击网是(Attack Net)基于Petri网而来，它是一个六元组AN=(S,M,F,W,P,S0)。其中S是攻击状态集，M表示攻击方法集；S∩M=Φ，S∪M≠Φ，F为节点流关系集，也就是有向弧集，F包含于(S×M∪M×S)。W是攻击方法的函数，W(A)用来度量攻击方法的特性。用P来表示初始状态分布。S0为初始攻击状态。攻击网模型中用M来描述攻击方法,主要解决的问题是一种攻击方法满足什么条件才可以成功实施。模型运行时的令牌的分布则描述了攻击过程动态运行的全部过程。攻击网将具体的网络攻击划分为攻击状态、攻击方法和当前攻击的进程3个部分，正好分别对应了Petri网中的库所、变迁和令牌3个要素，如图 2所示。当攻击进展到某一个状态时，会检测攻击方法，如果符合条件，则攻击向下一个状态发展，从而完成了一次攻击。用攻击网表示以后，网络攻击行为是一个“状态→攻击方法→状态”的持续进行的过程。攻击方法的实施、攻击状态的判断和攻击的进展构成了网络攻击的完整过程。

与攻击树相比，攻击网的节点比较容易扩展，原因在于，攻击网对攻击行为和结果进行了区分，通过变迁就能很好地描述攻击树中AND /OR节点所能表达的关联，因而我们可以结合实际在不改变原有节点结构关系的前提下任意增加节点。在图2中,假如要将社交工程作为攻击者获取密码的一个选择 (OR条件),可以添加一个新的变迁到“密码知识”节点(深颜色方形)。AND条件则可通过将新的库所附加到一个变迁上,如添加一个新节点“求解 /etc /password的哈希值”到“暴力猜解密码”这个变迁上(深颜色圆形)。在最基本的 Petri网中,令牌之间没有区别,在更高级的 Petri网中还可以给令牌着色进行区分,从而大大增强了攻击网的描述能力。

攻击网的理论背景是Petri网理论，它主要基于面向对象和事件的过程描述，可以高效地表示攻击所处的阶段、攻击的行为动作以及攻击的过程，具有强大的建模能力。可以说，在自动攻击控制和描述协同攻击方面，基于Petri 网的攻击网模型具有特别的优势。

2.3 当前的研究现状

从上文可以知道，攻击网模型主要描述了可以实施的各种攻击方法之间的逻辑关系以及事件先后顺序，刻画了网络攻击的时序和过程特点。众多学者和机构对基于Petri网的攻击建模做了大量的研究，也取得了一些成果。通过引入博弈策略、信任关系规则、添加阈值和可信度参数以及优化评估算法等多种方式来提高模型的精度和描述能力，推进了建模技术的发展。罗森林等[8]以漏洞为基本研究对象，提出一种基于时间Petri 网的渗透测试攻击模型构建方法，通过单漏洞利用模型整合成渗透测试攻击模型。黄光球等[9]提出一种针对信任攻击的面向对象Petri网建模技术，利用改写后的信任关系重建规则定义信任攻击 Petri网，模拟了信任攻击的场景。吴迪等人提出一种基于着色 Petri网(CPN)的原子攻击的建模方法，基于主机权限及主机脆弱性节点定义一个基本的原子攻击的Petri网模型。李程瑜等[10]基于随机Petri 网建立了DDoS攻防行为对抗网，在综合考虑攻防行为收益和攻防行为强度两方面因素之后，提出了把攻防稳态概率作为攻防行为评估的依据，利用攻防博弈策略求解方法对其建立的DDoS 攻防行为对抗网进行稳态分析和仿真评估。

3 攻击网的改进

基于Petri网理论的攻击网建模技术，较好地解决了单一建模技术无法准确描述当前复杂的网络攻击场景的局限，可用于描述和分析大型、复杂系统中异步、并发和资源竞争等问题，已成为目前最有价值的建模工具。但是也存在不少问题和缺点，比如攻击网建模是单纯站在攻击者的角度评估的，忽略了对手也就是网络防御者的能力水平，也没有将网络的拓扑结构考虑其中。因此可以考虑将攻击网和攻击图的优点进行结合。

3.1 攻击网的主要改进

改进1 考虑防御一方因素。为了克服仅仅站在攻击者角度评估不全面的问题，在对节点参数标准进行赋值时增加防御者的水平能力这一选项，这样补充后的节点参数赋值应该包括：攻击需要的时间TTL(Time-To-Live),攻击成功的概率(probability)，期望达到的损害程度(damage)，攻击者需要的技术能力(skills),以及防御者的水平能力(defensibility)。

改进2 考虑网络拓扑结构。攻击网在设计建模的时候，并没有考虑到被攻击网络的拓扑结构，或者说，攻击者可能并不掌握这些情况。为了更好地评估每次的攻击效果，在用Petri网对网络攻击事件和行为进行建模描述时，可以在子节点对应的属性参数中加入相邻节点的路由信息(routing)，这样会大大促进对攻击效果的科学客观评估。

3.2 评价指标的选择

改进后的攻击网应该包含6个关键的参数，它们是攻击需要的时间TTL(Time-To-Live),攻击者需要的技术能力(skills),相邻节点的路由信息(routing)，攻击成功的概率(probability)，期望达到的损害程度(damage)，以及防御者的水平能力(defensibility)等。其中，前4个参数(TTL、skills、routing、probability)是网络攻击能够成功实现的前提。后面两个参数：期望达到的损害程度(damage)和防御者的水平能力(defensibility)，则用来描述攻击结果。研究表明，传统的 CBR 或 Poisson 流量模型并不能反映具有自相似特性的实际突发网络流量。移动Ad Hoc网络的攻击流量是自相关的，攻击网的评价指标参数之间并不是独立的，存在一定的相关性。因此，攻击效果评估应该建立在能反映真实的网络流量特征的模型上。这里选取的攻击网参数应该尽量符合客观实际。

1) TTL：该属性定义了一个网络攻击事件或者过程完成所需要的时间开销。例如黑客攻击网络以达到拷贝核心电子文档的最终目的，首先需要绕过系统的安全认证进入到系统，然后是获得相关读写权限，最后才是拷贝转移资料。这一套流程有一个时间上限，他必须限时完成，否则会被防御者采取必要措施导致攻击无法继续下去，攻击将宣告失败。

2) probability：攻击成功的概率取决于每一个子任务的完成情况，如果假定各个子任务是互相独立的，那么就可以用子任务成功概率相乘得到总攻击成功的概率。为了分析更精准，这里还有考虑条件概率。

3) skills：用skills参数来表示攻击者要实施一次攻击所必需的知识储备和技能经验。攻击时间TTL与skills参数是负相关性，攻击者素质越高能力越强，所花费的攻击时间越短。如果攻击者水平有限，他完成攻击需要更多的时间，或者需要借助更多的外力支持才能成功。

4) defensibility：防御者的素质也是一个关键因素，对于攻击者来说是一道阻力，会抵消攻击的强度，与攻击时间TTL则是正相关。在攻击者技术能力(skills)和其他条件保持不变的情况下，防御者的水平能力(defensibility)越高，攻击的时间TTL会越长，甚至导致攻击无法完成。

5) damage：损伤程度。该参数用来评估攻击实施后对攻击目标带来的损害程度。损害的结果可以有多种，比如系统硬件损坏、软件瘫痪服务不可用或者重要敏感数据丢失等等。

6) routing：路由。由于节点存储的路由信息较多，需要的是对网络攻击能起作用的这一类路由。因此，关于路由信息的量化，可以用移动节点间的连接强度也就是经由该路由攻击能够成功的概率来表示。比如某节点存储有若干条路由信息，则只需要计算出每条路由信息能够助力攻击成功的概率即可。

经过改进后的攻击网，可以用一个七元组进行定义：

G=(S,τ，R，F，S0,D,SS)，其中，S是攻击状态(库所)的集合，S0是攻击初始状态的集合，SS是成功状态的集合。S= S0∪S1∪S2∪…∪SS；τ表示变迁关系(transition relation)且包含于(S×SS)，是攻击行为方法的集合；R：τ→[0,1]是节点上保存相邻节点路由信息的集合,用移动节点间的连接强度也就是经由该路由攻击能够成功的概率来表示，并有R1+R2+R3+…+Rn=1；F表示有向弧，F包含于(I×O∪O×I)，其中I×O是库所到变迁的有向弧，O×I是变迁到库所的有向弧；D表示防御者的水平能力的集合，也可以是攻击目标的安全防护措施，D={D1，D2，D3，…,DN}。

攻击网的节点对应的是一个可能的攻击状态，节点内容通常包括系统信息、访问权限、防御者的水平能力和攻击的损害程度等等。攻击者在对预定目标发起攻击时，除了要考虑自身的准备条件，也要衡量被攻击者的防御能力，以及网络拓扑对攻击顺序的影响。据此，首先分别构建基于攻击视角的Petri网(图3)和基于防御视角的Petri网(图4)，然后再结合攻防对抗过程将两者组合，这样就得到了一个完整的改进攻击网(图5)。

4 黑洞攻击的建模分析

黑洞攻击本质上是一种拒绝服务攻击，主要针对移动Ad Hoc网络的按需路由协议，比如AODV协议[11]。一般来说，黑洞攻击分被动型和主动型两种。两者的共性都是攻击网络数据，攻击者转发经过自己的路由报文，但丢弃所有的数据报文。这样，攻击者所在的节点“吃掉”了所有的数据包，变成了网络中的黑洞。常见的黑洞攻击都是被动型的，仅仅对网络拓扑发起攻击，存在一定的局限性，有时不一定成功。主动型的黑洞则向网络中注入虚假路由信息，其攻击危害更大。其基本原理是：在路由查询中，攻击者在自身没有到目标节点的路由情况下进行路由欺骗，抢先发布虚假消息，声称有到达目标节点的路由，使源节点建立通过该节点的路径，在随后的报文发送环节却并不作为，而是抛弃通过该节点的报文，形成抛弃报文的黑洞。本文主要研究被动型的黑洞攻击。下面是一个常规的被动黑洞攻击的例子，如图6所示。

假设P为黑洞节点，源节点S到目标节点D的给定路由是S→1→P→3→D。当节点P发动攻击时，经过节点P的所有数据报文都会被抛弃，源节点S与目标节点D无法正常通信。接着，源节点S启动路由发现功能进行广播RREQ，节点P又出现在S到D的有效路由链路上。然后源节点S再次发送数据报文给D，中途又被节点P抛弃。节点P就像幽灵一样，在暗中实施破坏行为。还有更高级的多个恶意节点联合起来发动黑洞攻击，更难发现和检测。可以说黑洞攻击严重扰乱了网络的正常运行。

黑洞攻击行为和针对黑洞攻击的防御行为共同构成了黑洞攻击的完整过程，以下分别进行描述。

4.1 攻击行为分析

1) 路由请求阶段。当源节点S需要发送通信数据时，会通过广播泛洪的方式向网络中的所有节点发送路由请求信息RREQ来定位目标节点D，以形成一条最优有效路由。如果在规定的存活时间TTL没有收到路由应答，则表明目标节点不可达，也就无法发送通信数据。同时，源节点S的选择原则是，最先回复可达路由信息将被优先采用。这个正好给攻击者提供了可乘之机。

2) 路由应答阶段。源节点S在全网发布路由请求信息RREQ后，只要是在有效的生存周期TTL中，网络中的节点都可以收到该路由信息。正常的情况下，每个节点都会去查找自己的路由信息表然后客观进行应答，如果存在达到目标节点D的路由则直接单播向源节点S响应，返回一个路由应答分组RREP，告知源节点通往目标节点的路径，也不再广播路由请求。如果节点路由表没有可达路由，则继续向相邻节点广播路由请求信息RREQ。黑洞攻击者可以是网络中的恶意节点，也可能是被敌方俘获的我方合法节点。它收到源节点的路由请求后，会马上进行路由应答RREP，声称自己有最短路由达到目标节点。具体情况如图7所示。

3) 数据发送阶段分析.源节点广播路由请求以后，会收到来自很多节点的路由应答数据，这里面既有正确的RREP报文也有攻击者假冒的RREP报文。源节点S会按照最先收到RREP报文记录的路由开始传输数据报文。如果这个最先收到的路由应答是攻击者假冒的，那么源节点发送过去的数据报文无疑是进了黑洞，最终无法达到目标节点。

4.2 防御行为分析

黑洞攻击尤其是主动型的黑洞攻击，通过扰乱节点间的正常通信，进而对网络拓扑进行攻击，最终达到控制通信数据或者孤立网络节点的目的。关于黑洞攻击的防护，一些研究人员提出了多种解决办法，大多数是利用基于加密算法的安全路由协议，该方法的成本较高，有的是冗余路由法，但是网络延迟较大，还有的采用的是节点信用衡量法和watchdog方法等等，都存在一些缺点。综合权衡，在此采用下游邻居节点监视法对黑洞攻击进行检测及响应。

不难知道，黑洞攻击防护的关键是及时找出恶意节点。由于无线网络的信道是开放共享的，广播报文时网络中的节点可以互相了解对方发送的任何信息。因此，邻居节点的作用非常关键。主要是分两步。当源节点S启动路由发现以后，邻居节点A及时监测路由的下一跳节点B的行为，是否转发了RREQ路由(或者回复RREP应答)，如果回复了路由应答或者没有继续转发路由请求，可以初步标记该节点为可疑恶意节点并给予一次计数。当源节点S开始传送数据报文时，邻居节点A再次监测，看B是否转发数据包(如果是则与缓存的数据包对比)，如果没有转发或者数据不一致，则继续标记该节点为可疑恶意节点并给予新的一次计数。如果总计数超过预先规定的一个阈值N，A可以举报节点B为恶意节点，并将此消息进行广播。继续采用上面的原理和方法，让网络中的邻居节点互相监视，用B被举报的次数来确定B的威胁程度X，当X大于预设的阈值X0时，基本可以认定B是黑洞节点，将其踢出当前网络环境(图8)。

4.3 攻击建模与分析

利用改进后的攻击网对黑洞攻击进行建模，如图9所示。严格意义上讲，图9是一个黑洞攻击的完整图，既包括攻击一方的行为，也包含防御一方采取的措施，库所P1、P2和P3右侧的部分就是邻居节点的监测过程。关于图9各个库所和变迁的具体含义用表1和表2表示。

4.4 参数量化和实验仿真

根据上文，改进后的攻击网包含6个关键的参数，它们是攻击需要的时间TTL(Time-To-Live，简写TTL),攻击者需要的技术能力(skills，简写ski),相邻节点的路由信息(routing，简写rou)，攻击成功的概率(probability，简写pro)，期望达到的损害程度(damage，简写dam)，以及防御者的水平能力(defensibility，简写def)，其中相邻节点的路由信息(rou)和防御者的水平能力(def)是新增加的参数。为了尽可能得到最优量化结果，在此选用文献[11]颜学峰等提出的改进差分进化算法优化模糊Petri网的方法来进行优化。同时，为了方便比较改进后的攻击网建模与常规的攻击网建模的不同效果，分两次进行优化和仿真实验，即改进后的攻击网使用6个参数描述量化，常规的攻击网使用4个参数来描述量化。下面是参数量化的过程和结果。仿真实验统一在Matlab R2014a环境下进行。

改进后的攻击网主要包括ttl，ski，rou，pro，dam，def这6个参数，并将6个参数总和作为总参数sum。将以上包含总参数sum在内的7种参数作为模型的输入即Pi1～Pi7，对应专家系统中的命题d1～d7。将攻击网的攻击目标最后的损害类型(无损害，轻微损害，一般损害，严重损害，彻底损害)5种状态作为模型的输出即po1～po5，对应专家系统中的命题d8～d12，对应的输出编码值如表3所示。改进前的攻击网没有rou和def参数，其他描述过程类似，这里不再赘述。

文献[12]提出的改进差分进化算法的不同之处在于，在种群优化过程中引入自适应变异算子，使算法在搜索初期保持较大的个体多样性，在算法的后期降低变异率，该机制能够避免早熟和局部收敛。同时，为了加快收敛速度和满足所有输入库所权值之和等于1的要求，对实验数据进行了归一化处理：

其中，

为迭代到第t代时，攻击Petri网中各个库所对应变迁的权值。实验的参数设置为：种群规模NP=100，变异因子F0=0.5，最大迭代次数为100，交叉因子CR=0.8。本文将收集到的100组数据作为实验样本，其中部分样本数据如表4所示。

按照文献[11]的改进差分进化算法步骤进行参数的学习优化，并在Matlab编程仿真，可以得到相应的迭代次数与适应度精度曲线，如图10、图11所示。使用同样的改进差分进化算法，改进前的攻击网参数需要迭代62次左右达到最优值1 100×10-4，而改进后的攻击网参数只需要迭代30次左右达到最优值0.5×10-4。通过图像可以看出：改进后的攻击网参数收敛速度更快，而且获得的最优解的适应度精度更高。

为了进一步比较攻击网改进前后的寻优性能，将目标函数的优化问题表述为：当算法迭代到i代时，攻击时间TTL到达最小，同时攻击成功的概率pro和期望达到的损害程度dam平方和到达最大。

实验环境和条件不变，得出如图12、图13所示结果。从图12、图13不难看出，改进后的攻击网寻优的迭代次数更少，而且得到的最优解更好，验证了改进后的攻击网模型对于评估网络性能的提升。

5 结论

本文主要对移动Ad Hoc 网络常规攻击网建模进行改进，增加了网络的拓扑结构和防御者的能力两个要素，能够最大限度发挥Petri网理论的优势，攻击网建模更加全面合理，也更有针对性。相对于改进前，攻击建模评估更加精细和准确。收敛速度更快，获得的最优值也更好，对于提升移动Ad Hoc网络攻击评估效果起到了较好的作用。

[1] 马涛,单洪.移动 Ad Hoc网络中DoS 攻击的建模与仿真[J].计算机工程，2009，35(5)：2588-2596.

[2] 易平.移动Ad Hoc网络入侵检测与主动响应机制研究[M].北京：清华大学出版社，2017.

[3] 黄雁，邓元望，王志强，等.可入侵检测的移动Ad Hoc网络安全综合评价[J].中南大学学报(自然科学版),2016(9)：3031-3039.

[4] 宋建华，洪帆，何晓冰.移动 Ad Hoc网的典型网络攻击与防范[J].微计算机应用,2007(5):454-459.

[5] 乐成利,高秀峰.移动Ad Hoc网络攻击建模方法研究综述[J/OL].飞航导弹:1-7[2019-09-09].https://doi.org/10.16338/j.issn.1009-1319.20190033.

[6] 黄光球，何通，陆秋琴.基于随机函数Petri网的系统动力学关联分析模型[J].计算机应用,2016(12):3262-3268.

[7] 李浪，刘海.基于广义二型模糊Petri网的词计算模型[J].华南师范大学学报(自然科学版),2018(7):120-128.

[8] 罗森林，张驰，周梦婷，等.基于时间Petri网的渗透测试攻击模型研究[J].北京理工大学学报,2015(1):92-96.

[9] 黄光球，白璐.基于对象Petri网的信任攻击建模与分析[J].系统仿真学报，2017(8)：1702-1711.

[10] 李程瑜，齐玉东，王晓虹.基于攻防博弈和随机Petri网的 DDoS攻防对抗评估[J].计算机系统应用,2019(1):25-31.

[11] 彭志楠，叶丹霞，范明钰.移动 Ad hoc网络的黑洞攻击研究[J].计算机应用研究,2009(11):4006-4009.

[12] 颜学峰，余娟,钱锋.基于改进差分进化算法的超临界水氧化动力学参数估计[J].华东理工大学学报(自然科学版),2006(1)：100-103，130.